Microsoftの報告によると、Fortra GoAnywhere MFT(マネージドファイル転送)の最近修正された脆弱性が、中国のランサムウェアグループによってゼロデイとして悪用されました。
この脆弱性はCVE-2025-10035(CVSSスコア10/10)として追跡されており、9月18日に公開され、Fortraがパッチを提供しました。アプリケーションのライセンスサーブレットにおけるデシリアライズの問題であり、このバグはコマンドインジェクションやリモートコード実行(RCE)に悪用される可能性があります。
公開直後、サイバーセキュリティ企業watchTowrは、このセキュリティ欠陥が少なくとも9月10日以降、認証なしでゼロデイとして悪用され、バックドア管理者アカウントの作成やMFTサービスへのアクセスが行われていたと警告しました。
現在、Microsoftは発表で、Medusaランサムウェアを使った攻撃で知られる中国拠点の金銭目的のハッキンググループ「Storm-1175」が、9月11日以降この脆弱性を悪用していると述べています。
このランサムウェアグループは、インターネットに公開されたGoAnywhere MFTインスタンスを標的に、偽造されたライセンス応答署名を用いてRCEを実現していました。
攻撃者は、GoAnywhere MFTプロセス下でSimpleHelpおよびMeshAgentのリモート監視・管理(RMM)ツールを展開し、アプリケーションのディレクトリ内に.jspファイルを作成しました。
次に、脅威アクターはユーザー、システム、ネットワークの調査を行い、その後mstsc.exeを用いて横展開を実施しました。Storm-1175はまた、コマンド&コントロール(C&C)通信のためにCloudflareトンネルも設定しました。
少なくとも1つの侵害された環境では、ハッカーはデータ流出のためにRcloneコマンドラインツールを使用しました。このグループは、少なくとも1つの侵害されたネットワークでMedusaランサムウェアを展開しました。
パッチ公開からほぼ3週間、ゼロデイ悪用が指摘されてから2週間、米国サイバーセキュリティ庁がCVEをKEVリストに追加してから1週間が経過しましたが、Fortraはこのバグの悪用について警告するアドバイザリを更新していません。
これについて、watchTowrのCEOであるBenjamin Harris氏はメールコメントで、特にMicrosoftが以前からのゼロデイ攻撃の証拠を確認した今、対応を変えるべきだと指摘しています。
「Microsoftの確認により、現在非常に不快な状況が明らかになりました。悪用、帰属、そして攻撃者に1か月の先行を許したことです。まだ明らかになっていないのは、Fortraだけが答えられる疑問です。脅威アクターはどのようにして悪用に必要な秘密鍵を入手したのか?なぜ組織はこれほど長く知らされなかったのか?」とHarris氏は述べています。
watchTowrとRapid7による技術分析では、このCVEの悪用が成功するには、攻撃者がライセンス応答署名を偽造するために必要な「serverkey1」秘密鍵へのアクセスが必要であることが明らかになりました。
どちらの企業もこの鍵を特定できず、流出した可能性や、攻撃者がライセンスサーバーを騙して悪意のある署名をさせた可能性、または不明な方法で鍵にアクセスした可能性を推測しています。
翻訳元: https://www.securityweek.com/fortra-goanywhere-mft-zero-day-exploited-in-ransomware-attacks/
